Гимн – да, которая Anthem – снова взломан. Примерно через месяц после того, как осажденная медицинская страховая компания согласилась раскошелиться на рекордные 115 миллионов долларов Чтобы урегулировать коллективный иск, связанный с масштабным взломом в 2015 году, он снова был взломан, точнее, один из его сторонних поставщиков. Взлом Anthem в 2017 году был связан с… около 18,000 XNUMX участников Medicare чья личная информация была украдена злонамеренным инсайдером, работающим в LaunchPoint Ventures, фирме по координации услуг страхования Medicare. Новости здравоохранения отчеты:

LaunchPoint обнаружил 12 апреля, что сотрудник, вероятно, воровал и злоупотреблял данными Anthem и не-Anthem. Сотрудник отправил файл, содержащий информацию об участниках Anthem, на свой личный адрес 8 июля 2016 года.

Файл содержал номера Medicare ID, включая номера социального страхования, номера Health Plan ID, имена и даты регистрации. Чиновники заявили, что были включены ограниченные фамилии и даты рождения.

Выводы из последнего нарушения Anthem

Взлом Anthem — последний случай, подчеркивающий необходимость управления киберрисками для всей экосистемы предприятия. Собственные системы Anthem не были взломаны; взломан был их сторонний поставщик. Другое недавние жертвы нарушений со стороны третьих лиц К ним относятся Netflix, Национальный комитет Республиканской партии, Trump Hotels, Verizon и Google (которая пострадала от взлома у стороннего поставщика одного из своих сторонних поставщиков).

Поскольку организации передают на аутсорсинг все больше и больше ИТ-услуг, от расчета заработной платы до выставления счетов и веб-разработки, хакеры все чаще нацеливаются на этих поставщиков услуг. По оценкам, 63% всех корпоративных нарушений Можно отследить связь с сторонним поставщиком. Хакеры могут атаковать именно этих поставщиков услуг, поскольку многие из них — небольшие компании, чья кибербезопасность может быть не столь надежной, как у национальных или транснациональных корпораций, чьи данные им действительно нужны.

Знай своих поставщиков

Опасность утечки данных третьих лиц является одной из причин, по которой Министерство обороны США требует, чтобы не только его основные подрядчики, но и все фирмы, с которыми они заключают субподрядные контракты на выполнение работ для Министерства обороны, были соответствует стандарту безопасности DFARS к концу 2017.

Частным организациям следует брать пример с DoD и вести бизнес только с теми поставщиками ИТ-услуг, которые выпустили отчеты AICPA SOC / SSAE16 и/или имеют важные сертификаты по ИТ-безопасности, такие как NIST, ISO или FedRAMP. Эти организации доказали свою приверженность высочайшим уровням безопасности данных, пройдя строгие аудиты безопасности, которые требуют от них соблюдения определенных процедур и мер контроля и изложения их в письменном виде.

Аналогичным образом, поставщики ИТ-услуг должны получить соответствующие сертификаты безопасности данных и продемонстрировать своим клиентам наличие у них надежных средств контроля безопасности. Континуум GRC IT Audit Machine (ITAM) позволяет организациям легко добиваться и поддерживать соответствие требованиям с помощью модулей самостоятельной помощи, охватывающих многочисленные стандарты соответствия, включая FedRAMP, SSAE 16, COBIT, ISO 27001, ISO 27002, ISO 27005, SOX, FFIEC, PCI, GLBA, HIPAA, CMS, NERC CIP, DFARS и другие федеральные и государственные предписания.

Не рассчитывайте переложить ответственность на других

Тот факт, что нарушение произошло по вине вашего поставщика, не означает, что ваша организация будет защищена от ответственности. 300 миллионов долларов Целевое нарушение, в результате которого и генеральный директор, и директор по информационной безопасности потеряли свои должности, был задействован сторонний поставщик точек продаж.

Масштаб потенциальной ответственности только что расширился: вскоре после того, как появились новости о нарушении Anthem, Апелляционный суд США вынес решение против медицинской страховой компании CareFirst, что позволило продолжить рассмотрение коллективного иска, поданного клиентами, пострадавшими от утечки данных в 2014 году. Ожидается, что это решение будет иметь широкие последствия, позволяя клиентам не только медицинских страховых компаний, но и любых других компаний подавать в суд в случае кражи их персональных данных.

Обеспечение надлежащего управления, управления рисками, соответствия требованиям и кибербезопасности во всей экосистеме вашего предприятия занимает гораздо меньше времени и стоит гораздо меньше денег, чем устранение последствий после нарушения.

Эксперты по кибербезопасности Lazarus Alliance обладают глубокими знаниями в этой области, постоянно отслеживают новейшие угрозы информационной безопасности и стремятся защитить организации любого размера от нарушений безопасности. Наши комплексные услуги по оценке рисков и программное обеспечение Continuum GRC RegTech помогут защитить вашу организацию от утечек данных, атак программ-вымогателей и других киберугроз.

Lazarus Alliance — это проактивная кибербезопасность®. Позвоните по номеру 1-888-896-7580, чтобы обсудить потребности вашей организации в области кибербезопасности и узнать, как мы можем помочь ей соблюдать правила кибербезопасности, обеспечивать соответствие требованиям и защищать ваши системы.

SEC и NFA намерены усилить меры по обеспечению кибербезопасности в свете недавних глобальных атак и назначения новых руководителей правоохранительных органов

Публичные компании и фирмы, работающие в регулируемых отраслях, особенно в сфере финансов, должны ожидать усиления мер по обеспечению кибербезопасности со стороны SEC и NFA в связи с новыми и возникающими угрозами, такими как WannaCry и NotPetya, а также назначение двух новых руководителей правоохранительных органов, специализирующихся на кибербезопасности. Отчеты Reuters:

В четверг Комиссия по ценным бумагам и биржам США назначила Стефани Авакян и Стивена Пейкина новыми содиректорами по обеспечению соблюдения.

В эксклюзивном интервью перед официальным объявлением они заявили, что глубоко обеспокоены киберугрозами и рассматривают эту тему как один из главных приоритетов правоприменения.

«Сейчас самая большая угроза нашим рынкам — это киберугроза», — сказал Пейкин, который все еще носил гостевой бейдж, поскольку еще не получил формальных полномочий SEC и NFA. «Это касается не только этого здания, но и всей страны».

SEC, NFA начали замечать «рост» числа расследований, связанных с киберпреступностью, а также увеличение сообщений о вторжениях в брокерские счета, сказал Авакян. В результате агентство начало собирать статистику о киберпреступлениях, чтобы выявлять более широкие проблемы на рынке.

Это следует по пятам бюллетень риска Комиссия по ценным бумагам и биржам (SEC) и Национальная фьючерсная ассоциация (NFA) опубликовали в ответ на атаки WannaCry бюллетень, призывающий брокеров-дилеров, инвестиционных консультантов и инвестиционные компании «оценить отраслевые практики, а также правовые, нормативные и нормативно-правовые вопросы, связанные с готовностью к кибербезопасности». направил читателей на веб-сайт учрежденная Управлением по регулированию деятельности финансовой отрасли (FINRA) — саморегулируемой организацией, находящейся под надзором SEC, которая предоставляет многочисленные советы и ресурсы по кибербезопасности.

Проблемы кибербезопасности, выявленные в ходе нормативных экзаменов

Также вносят свой вклад в развитие SEC, NFA уделяет большое внимание кибербезопасности. SEC, NFA обнаружили провалы в безопасности во время недавних нормативных экзаменов в финансовых компаниях, в том числе:

• Несанкционированное раскрытие личной информации (PII).
• Проблемы с фишинговыми письмами: было обнаружено, что сотрудники нажимают на подозрительные вложения более чем в 20% случаев.
• Сторонние переводы не проходят надлежащую аутентификацию.
• Организации не проводят периодические оценки рисков, тесты на проникновение и сканирование уязвимостей.

Штрафы за несоблюдение стандартов кибербезопасности SEC и NFA может быть серьезным. В июне прошлого года агентство оштрафовало Morgan Stanley Smith Barney LLC на 1 миллион долларов за неспособность обеспечить достаточную защиту своих систем для предотвращения взлома; наложило санкции на Craig Scott Capital LLC на 100,000 75,000 долларов за использование нефирменных адресов электронной почты для получения факсов; и заставило RT Jones Capital Equities Management Inc. выплатить XNUMX XNUMX долларов за «невыполнение надлежащей киберполитики» после взлома компании.

Финансовые компании — не единственные, кого SEC привлекает внимание. Law360 сообщает что SEC, NFA расследует Yahoo за его многочисленные утечки данных.

Правильные методы GRC позволят вашей организации оставаться в выгодном положении в глазах SEC

Группа экспертов, состоявшаяся на недавней ежегодной конференции FINRA 2017 года, обсудила пять лучших практик, которые следует использовать организациям для предотвращения кибератак и обеспечения соответствия требованиям Стандарты кибербезопасности FINRA и SEC, NFA: управление, оценка рисков, обучение кибербезопасности, управление доступом и управление поставщиками.

Некоторые организации, особенно малые и средние, испытывают трудности с затратами средств и времени, которые требуют проактивные меры кибербезопасности и GRC. Чтобы сократить время и деньги, которые компании должны тратить на кибербезопасность, Lazarus Alliance использует Continuum GRC IT Audit Machine (ITAM) – фирменный программный пакет RegTech с удобными для пользователя модулями самостоятельной помощи, включая модули для Отчет о кибербезопасности FINRA SEC, NFA и Контрольный список FINRA по кибербезопасности для малых предприятийITAM экономит деньги, упрощает процесс обеспечения соответствия, устраняет анархию аудита и ускоряет процессы оценки и отчетности GRC на 180%.

Стоимость кибератак и штрафов за несоблюдение требований намного выше, чем изначальное предотвращение атак и обеспечение соблюдения требований.

Эксперты по кибербезопасности Lazarus Alliance обладают глубокими знаниями в этой области, постоянно отслеживают новейшие угрозы информационной безопасности и стремятся защитить организации любого размера от нарушений безопасности. Наши комплексные услуги по оценке рисков и программное обеспечение Continuum GRC RegTech помогут защитить вашу организацию от утечек данных, атак программ-вымогателей и других киберугроз.

Lazarus Alliance — это проактивная кибербезопасность®. Позвоните по номеру 1-888-896-7580, чтобы обсудить потребности вашей организации в области кибербезопасности и узнать, как мы можем помочь ей соблюдать правила кибербезопасности, обеспечивать соответствие требованиям и защищать ваши системы.

Отчет об утечке данных Verizon за 2017 год показывает, что хакеры теперь охотятся не только за платежными картами и удостоверениями личности

По данным организации, кибершпионаж становится все более серьезной проблемой, особенно в сфере производства, профессиональных услуг, образования и государственного сектора. Отчет об утечке данных Verizon за 2017 год, который был выпущен на прошлой неделе. Пока хакеры все еще охотятся за номерами кредитных карт, налоговыми данными сотрудников, медицинскими картами и другой конфиденциальной личной информацией, они обнаружили, что атака на интеллектуальную собственность, корпоративные секреты и даже государственные секреты может быть весьма прибыльной.

Как будто по сигналу, примерно в то же время, когда был опубликован отчет об утечке данных Verizon, поставщик онлайн-развлечений Netflix стал жертвой кражи интеллектуальной собственности. Хакер или группа, называющая себя «TheDarkOverlord», потребовали выкуп и пригрозили публично опубликовать эпизоды предстоящего сезона оригинального сериала Netflix. Оранжевый — новый черный, который должен был выйти [для платных подписчиков] 9 июня. Netflix отказался платить, и TheDarkOverlord выложил 10 эпизодов (или, по крайней мере, то, что выглядит как 10 эпизодов) в сеть. Поскольку хакер или группа получили доступ к материалу, взломав постпродакшн-объект, используемый несколькими крупными телевизионными студиями, другие сети, вероятно, станут мишенью в ближайшие недели и месяцы; на самом деле, TheDarkOverlord уже написал в Твиттере следующее:

https://twitter.com/tdohack3r/status/858893194297315328

Интеллектуальная собственность особенно уязвима в цифровую эпоху

В цифровую эпоху компании владеют большим количеством интеллектуальной собственности, чем когда-либо прежде. Помимо прототипов продуктов, патентов, данных маркетинговых исследований и списков продаж, многие компании разрабатывают фирменное программное обеспечение и мобильные приложения, чтобы получить конкурентное преимущество. Например, казино вкладывают миллионы в разработку игрового программного обеспечения, а поскольку потребители требуют смотреть телесериалы и фильмы онлайн, развлекательные компании вкладывают значительные средства в технологии доставки контента.

В отчете Verizon Data Breach Report отмечается, что 90% атак кибершпионажа осуществляются «группами, связанными с государством». Хотя большинство людей может предположить, что эти группы в первую очередь нацелены на государственный сектор в поисках государственных секретов, компании частного сектора не застрахованы от кибершпионажа; кибершпионаж является главной киберугрозой, с которой сталкивается производственная отрасль, намного превосходя все другие формы взлома, а 90% украденных данных состоят из корпоративных секретов.

Почему государственные деятели заинтересованы во взломе производственной компании? Частные компании уже давно стали объектами шпионажа со стороны иностранных агентов, желающих украсть передовые технологии для использования в своих странах. Недавняя сюжетная линия шпионской драмы FX Американцы, действие которого происходит во время Холодной войны, в нем участвуют советские шпионы, проникающие в сельскохозяйственную компанию, чтобы украсть образцы новой устойчивой к вредителям пшеницы для КГБ. Отчет Verizon подразумевает, что со времен вымышленных шпионов сериала мало что изменилось, отмечая, что учебные заведения все чаще становятся мишенью для государственных субъектов, и выдвигая теорию, что это происходит потому, что «колледжи являются центрами инноваций и создают технологии», которые представляют большой интерес для иностранных правительств.

Хотя кража интеллектуальной собственности недовольными нынешними или бывшими сотрудниками или конкурентами не так распространена, она обходится дорого, когда случается. По оценкам, Команда MLB «Хьюстон Астрос» потеряла 1.7 миллиона долларов после того, как сотрудник конкурирующей команды взломал их базу данных, украв конфиденциальную разведывательную и торговую информацию. Хотя на данном этапе неизвестно, сколько Netflix может потерять от кражи Оранжевый — новый черный, Эксперты отрасли уже задаются вопросом, не будет ли компания вынуждена выпустить следующий сезон раньше, чтобы иметь возможность конкурировать с «бесплатной» версией, предоставляемой TheDarkOverlord.

Как хакеры проникают в систему и как компании могут им помешать?

Отчет Verizon Data Breach Report показал, что типичная атака кибершпионажа начинается так же, как и большинство других: ничего не подозревающий сотрудник нажимает на зараженный вредоносным ПО файл, прикрепленный к фишинговому письму. После установки вредоносного ПО кибершпион может использовать его для кражи легитимных учетных данных и проникновения в систему организации, где он может оставаться незамеченным в течение нескольких дней, недель и даже месяцев.

Лучшая защита от фишинговых писем — это внедрение превентивных мер кибербезопасности, которые позволят предотвратить фишинговые атаки на сотрудников. В отчёте Verizon рекомендуется установить защиту от вредоносного ПО на шлюзе электронной почты, поддерживать актуальность программного обеспечения и операционных систем, внедрить сегментацию сети и многофакторную аутентификацию, провести обучение по вопросам безопасности для всех сотрудников и внедрить систему, позволяющую сотрудникам немедленно сообщать о предполагаемых фишинговых письмах сотрудникам службы безопасности.

Любая компания, которая владеет или считается владеющей полезной или ценной интеллектуальной собственностью или конкурентной информацией, подвергается риску ее кражи. Отчет Verizon показывает, что защищать данные интеллектуальной собственности так же важно, как защищать данные платежных карт, клиентов и сотрудников.

Эксперты по кибербезопасности Lazarus Alliance обладают глубокими знаниями в этой области, постоянно отслеживают новейшие угрозы информационной безопасности и стремятся защитить организации любого размера от нарушений безопасности. Наши комплексные услуги по оценке рисков и программное обеспечение Continuum GRC RegTech помогут защитить вашу организацию от утечек данных, атак программ-вымогателей и других киберугроз.

Lazarus Alliance — это проактивная кибербезопасность®. Позвоните по номеру 1-888-896-7580, чтобы обсудить потребности вашей организации в области кибербезопасности и узнать, как мы можем помочь ей соблюдать правила кибербезопасности, обеспечивать соответствие требованиям и защищать ваши системы.